Windows应急响应-PcShare远控木马
目录[*]应急背景
[*]木马查杀
[*]1.查看异常连接
[*]2.查看进程
[*]3.查看服务
[*]定位到注册表
[*]开始查杀
[*]入侵排查
[*]1.账户排查
[*]2.开机自启
[*]3.服务
[*]4.计划任务
[*]5.网络环境
[*]6.进程排查
[*]重启再排查一遍
应急背景
曲某今天想要装一款软件,通过网上搜索看到非官方网站进入后直接下载下来后举行安装,他发现双击安装的时候存在无响应一段时间后才开始安装,由于他自己电脑是新的而且设置也不错,没有遇到过这种环境,感觉可能这个安装软件有标题 ,所以他就找到了竹某,盼望帮他排查一下电脑是否中病毒木马了。
竹某了解环境后就上机举行排查。
木马查杀
1.查看异常连接
netstat -ano | findstr "ESTABLISHED"发现存在异常连接
https://i-blog.csdnimg.cn/direct/b0813ee95eae4d43ac1f51c5795728f3.png
线索卡
1.异常连接,端口号4024
2.查看进程
使用PChunter工具
PChunter工具分享地点:https://pan.baidu.com/s/1_OMmoe5aFGDu3--q0u94pw?pwd=w3rb
查看进程模块
https://i-blog.csdnimg.cn/direct/116da39dd3bb453e8df658d3cb794eb4.png
发现有两个dll调用模块没有厂商签名验证
https://i-blog.csdnimg.cn/direct/cd53eaa288da4adf8f7def443980132e.png
这里使用sigcheck再次对签名举行校验判断,两个dll文件确实是没有校验的。
Sigcheck工具分享地点:
https://pan.baidu.com/s/1qqA5T1ySskwc-_gVWO1MDA?pwd=d7jl
使用方法:signatrue.exe 指定文件路径
https://i-blog.csdnimg.cn/direct/7ef127fad5414f87a08d3705555085ed.png
接着拷贝出来丢到沙箱上,结果出来就确定是木马,看到特性Variant.PcClient,可能是PcShare远控木马。
https://i-blog.csdnimg.cn/direct/80e2d614987743b9b234e7cb0020f09b.pnghttps://i-blog.csdnimg.cn/direct/4465a73d2f4a4a8689c04d71316a21ce.png
线索卡
1.异常连接,端口号4024
2.进程模块定位两个dll后门文件,( WeChat.dll wechatctr.dll )
3.查看服务
tasklist /svc | findstr "4024"这里看到是微信的服务名,而且还是svchost.exe,但是我们没有开微信程序,而且全部网页都关闭了,这边只有这个是创建连接的,还是比力可疑,所以要继续排查。
https://i-blog.csdnimg.cn/direct/dfcdd8891e4c4d14837fb779caac782d.png
用PChunter定位到该服务,可以看到仍旧是没有签名校验,
https://i-blog.csdnimg.cn/direct/f5bb4dc26efc41a7b10c5a9363e33bbd.png
线索卡
1.异常连接,端口号4024
2.进程模块定位两个dll后门文件,( WeChat.dll wechatctr.dll )
3.WeChat异常服务
定位到注册表
通过异常服务可以定位到注册表数据
https://i-blog.csdnimg.cn/direct/fff725b4931940d2af4d4b6157193dad.png
从这里也能看到注册表中记录了后门dll的文件名路径
https://i-blog.csdnimg.cn/direct/adad6235e48b481abdfa5949e5b0dc28.png
线索卡
1.异常连接,端口号4024
2.进程模块定位两个dll后门文件,( WeChat.dll wechatctr.dll )
3.WeChat异常服务
3.1.WeChat服务对应的注册表:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Wechat
开始查杀
1.把进程杀掉
杀进程之前删看可否删掉后门dll文件
删除对应的后门dll模块
通过PChunter定位到文件位置,或者在PChunter中直接删除也行
https://i-blog.csdnimg.cn/direct/d6ad52369ef44a2294fc00168f905a99.png
https://i-blog.csdnimg.cn/direct/6ba403097c774c8c98086a9b9b17f57a.png
接着就可以停掉进程了
taskkill /F /PID 4024发现使用命令删不掉
https://i-blog.csdnimg.cn/direct/2acc6c819a2a4ae69c1ce0f74b9e3b76.png
实验使用PChunter举行删除
https://i-blog.csdnimg.cn/direct/6f85a69197664aeebd99e88bc0e5f089.png
成功竣事进程
https://i-blog.csdnimg.cn/direct/3d461aff88af4c48b123a1516872951b.png
3.服务删除干净(包括注册表)
先定位到注册表将其删除
https://i-blog.csdnimg.cn/direct/cfd75358c6954b409d695c7f5da10d51.png
假设你要手动删除的话,要注意有几个地方都必要你留意删除干净,展开查看是否有service相干的目录项,有的话就必要排查,查看是否存在Wechat与后门dll文件相干的注册表,必要删除干净一点。
https://i-blog.csdnimg.cn/direct/7fdaf1277428456885b83db838c23def.png
https://i-blog.csdnimg.cn/direct/c43a19b9495d4855b8ba9a53255ba491.png
我这里用了Process Hacker删除服务,能删的挺彻底的,会把注册表全部相干的都删干净。
Process Hacker工具分享地点:
https://pan.baidu.com/s/13GFrYFlNSfy48CEepPHkuA?pwd=mm7g
https://i-blog.csdnimg.cn/direct/c820376b8bb54bb18cd8c209089fabb8.png
不建议使用PChunter和Antoruns来删除,删不干净,实测发现会将注册表中重要的删除,剩下另外的几个目录项另有残留。
PChunter不会删除相应文件。
而autoruns删除后举行查看发现剩下三个目录项都没删干净,可能autoruns只能删除开机自启相干的,只能继续手工将其残留项删除。
https://i-blog.csdnimg.cn/direct/b23b2d9cc28744e1855f4cbe86e4d968.png
线索卡
√已解决1.异常连接,端口号4024
√已解决2.进程模块定位两个dll后门文件,( WeChat.dll wechatctr.dll )
√已解决3.WeChat异常服务
√已解决3.1.WeChat服务对应的注册表:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Wechat
入侵排查
1.账户排查
这里省略步骤了,遇到了再具体提,这里账号没标题
重要排查以下几点:
[*]克隆账号(注册表)
[*]隐蔽账户(注册表)
[*]异常用户(net user/计算机管理账户)
[*]用户属组关系(比如:普通用户属组酿成管理员组)
[*]查看账户是否允许远程登录(3389端口)
2.开机自启
可通过系统目录、注册表查看开机自启
但是我这里直接使用Autoruns排查了,统统正常
Autoruns工具分享链接:
https://pan.baidu.com/s/1LWodcbICx0PQNrkpiagQMw?pwd=4xw0
https://i-blog.csdnimg.cn/direct/a03fc1eef9c74b15888102bd066665a5.png
3.服务
可通过PChunter查看之前的服务是否还在,同时着重排查没有文件厂商签名校验的。统统正常。
https://i-blog.csdnimg.cn/direct/00ed09065ab2411ba002edc66b7ba17d.png
4.计划任务
同样在PChunter中查看,着重看没有签名校验的。
https://i-blog.csdnimg.cn/direct/a6c7957bb66e4732bcf5b811591d7b65.png
5.网络环境
netstat -anohttps://i-blog.csdnimg.cn/direct/e4dc59fa417d4f24ad4150f8066a810b.png
6.进程排查
这里同样可以使用PChunter等工具辅助查看,重要排查svchost对应的进程模块是否存在wechat或者没有厂商签名校验的。没有发现异常。
https://i-blog.csdnimg.cn/direct/ceeaf821657c4994807aa257a2e39f00.png
查看pid对应程序以及对应的服务名
tasklist /svchttps://i-blog.csdnimg.cn/direct/e0b88ea6a9eb4eb8b326dd3b2ce1575c.png
重启再排查一遍
因为我们已经知道了是远控木马,所以这里排查的话就根据我们查杀过程走一遍。
https://i-blog.csdnimg.cn/direct/b7c6bb20cc2748648db757c71aa40afa.png
1.查看对外连接netstat
2.异常进程是否又再起来了
3.svchost.exe中是否另有未签名校验的模块(留意wechat字眼模块)
4.查看服务是否存在wechat字眼
此时此刻一名黑客正在emo他的肉鸡没了
https://i-blog.csdnimg.cn/direct/6f96a6e25c6b438a8d04aac66a57288f.png
统统正常,收工。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]